資源簡介

(共41張PPT)
第三章 信息系統安全
3.2 信息系統安全與防護
學習目標
掌握常用數據加密的方法，口令與密鑰，理解簡單加密算法的原理。
學會身份認證與安全相關知識，認識計算機病毒并掌握防治的方法。
能在應用信息系統的過程中，及時發現系統潛在的安全隱患，并應用技術手段做好安全防范工作。
人們享受著信息系統帶來的便利，同時也面臨著相應的風險。
信息系統的安全問題是動態的、變化的，新的攻擊技術和手段不斷出現，人們必須時刻注意安全防范。
例7 小李接到陌生人的電話，說他中獎1萬元，并告訴他需要中國銀行發給他的驗證碼才能給他轉賬，接著他收到了一條中國銀行發來含有驗證碼的短信。李衛國正確的做法應該是 （ ）
A.相信自己中了獎
B.立即告訴陌生人短信驗證碼
C.和家人分享中獎的喜悅
D.認為這是詐騙電話并向公安機關舉報
D
解析：接到陌生人中獎電話，應向官方網站等權威部門核實或直接向公安機關舉報。
新課講授
知識點3.2.1：數據加密與安全
確保數據的______、______、_________、______，這是密碼學要實現的主要安全目標。為此，需要通過加密措施保護信息的保密性，采用數字簽名保護信息的不可否認性，同時為了避免數據災難，確保數據的完整性，還需要重視數據的________和_____。
1.密碼與密鑰
(1)口令與密碼
口令(Password)用于認證用戶身份，就是我們平時所謂的“密碼”。
密碼通常是指按特定編碼規則，對通信雙方的數據信息進行從明文到密文變換的一種技術方法。是一種“混淆”技術，是密碼算法的簡稱，由加密算法和解密算法組成。
保密性
完整性
不可否認性
存在性
容災備份
恢復
例6 密碼強度檢測。編寫Python程序，實現如下功能：輸入要檢測的密碼，輸出密碼強度結果。密碼字符分為數字字符、字母和其他符號三類。密碼強度的檢測方法為：若密碼位數少于8位，則不進行強度檢測，給出提示“密碼位數不能少于8位，請重新輸入！”。若密碼位數在8位及以上，則進行強度檢測；若密碼字符屬于同一類字符，則密碼強度為“弱”；若密碼字符屬于不同的二類字符，則密碼強度為“中等”；若密碼字符屬于不同的三類字符，則密碼強度為“強”。
(1)若輸入“12abcd5！”，則輸出結果為__________(選填，選字母：A.密碼位數不能少于8位，請重新輸入！ /B.弱 / C.中等 / D.強)。
D
(2)實現上述功能的程序如下，請在劃線處填入合適的代碼。
password＝input("請輸入要檢測的密碼： ")
①____________
if n<8：
print("密碼位數不能少于8位，請重新輸入！ ")
else：
n1＝0
n2＝0
n3＝0
for i in range(0，n，1)：
②____________
if " 0 " <＝ch<＝ " 9 " ：
　　 　　　 n1＝1
elif " a " <＝ch<＝ " z " or " A " <＝ch<＝ " Z " ：
　　　　　　n2＝1
else：
　　 　　　 n3＝1
③____________
if x＝＝3：
print("強")
elif x＝＝2：
print("中等")
else：
print("弱")
n＝len(password)
ch＝password[i]
x＝n1＋n2＋n3
加密算法
解密算法
密碼：dlrow olleh
明碼：hello world
密碼由加密算法和解密算法組成。
(2)密鑰的概念
密鑰(Key)是指在密碼算法中引進的控制參數，對一個算法采用不同的參數值，其加、解密結果就不同。
加密算法中的控制參數稱加密密鑰，解密算法中的控制參數稱解密密鑰。
密碼系統包括____、_____、____和________四個方面。
明文(簡稱P)：原有的信息
密文(簡稱C)：明文經過加密變換后的形式
加密(簡稱E)：由明文變為密文的過程，通常由加密算法實現
解密(簡稱D)：由密文還原成明文的過程，通常由解密算法實現
明文
密文
密鑰
密碼算法
解密函數P=Dk2(C)
加密函數C=Ek1(P)
(3)簡單加密算法
主要介紹________、________、_______三種簡單加密算法。
①替代密碼：基本思想是將明文中的每個位置的字符用其他字符替代。凱撒密碼是應用替代密碼的經典例子，通過正常順序的明文字母表偏移一定字母替代來實現加密。
替代密碼
換位密碼
簡單異或
例3 凱撒密碼是一種簡單的置換密碼，通過替代來實現加密。假設密文按照小寫字母表是由正常順序的明文字母表右移2個字母得到，則明文單詞“big”加密后得到的密文為 （ ）
A.dik
B.elj
C.ekj
D.dki
D
解析：根據凱撒密碼運算規則，將每個英文字母都按照小寫字母表順序往右移動2個字母，因此得到密文為dki。
例3變式訓練 例3中，加密的小寫字母向右移2位的Python表達式為 （ ）
A.Ci＝(Pi＋2－97)% 26＋97
B.Ci＝(Pi＋23)% 26
C.Ci＝(Pi＋2)% 26
D.Ci＝(Pi－23)% 26
A
解析：26個字母循環。
②換位密碼：基本思想是將明文中的字符位置通過一定的規則________。最簡單的換位就是______，即將明文中的字符倒過來輸出。
重新排列
逆序法
例如：
明文：Do you love me
密文： em evol uoy oD
③簡單異或：異或運算，是一種邏輯運算，其數學符號為“ ”。運算時要求把參與運算的數轉換為二進制數再進行按位運算。如果兩個值不相同，那么異或結果為1。如果兩個值相同，那么異或結果為0。運算特點：
0 0＝0，0 1＝1，1 0＝1，1 1＝0
例：字符串“Hello”可以按如下方式用密鑰10110001進行加密：
01001000 01100101 01101100 01101100 01101111 （P-明文）
10110001 10110001 10110001 10110001 10110001 （K-密鑰）
=11111001 11010100 11011101 11011101 11011110 （C-密文）
就是將明文與密鑰進行異或運算，解密則是對密文用同一密鑰進行異或運算。即：
P K=C
C K=P
例4 用簡單異或加密法對明文“1011”進行加密，得到的密文為“1001”，則密鑰是 （ ）
A.0010
B.1010
C.1101
D.0011
A
解析：異或運算時要求把參與運算的數轉換為二進制數再進行按位運算。如果兩個值不相同，那么異或結果為1。如果兩個值相同，那么異或結果為0。根據運算規則反推可知密鑰為0010。
例4變式訓練 算式(7)10 (11)10的計算結果為 （ ）
A.1111
B.1010
C.1100
D.0011
C
解析：根據運算規則，將十進制數7和11分別轉化為二進制0111和1011，然后根據異或運算的法則得到結果為1100。
2.對稱與非對稱密碼體制
密碼體制，是指_____、____、____以及實現____和________的一套軟件和硬件機制。
密碼體制可以分為對稱密碼體制和非對稱密碼體制。
對稱密碼體制（單鑰密碼體制）：加密密鑰Ke=解密密鑰Kd。
如：著名的加密算法是IBM公司研制成功的___________。
非對稱密碼體制（雙鑰密碼體制）：加密密鑰Ke≠解密密鑰Kd。
如：著名的加密算法是________。
明文
密文
密鑰
加密
解密算法
DES分組算法
RSA算法
知識點3.2.2：身份認證與安全
通過對數據源加密可以提高信息的保密性，而人們利用信息系統對數據進行訪問，也是引起數據不安全的一個重要環節。
為了系統的安全，需要對訪問者進行管制和約束。身份認證用于檢驗訪問者身份的合法性，控制哪些用戶能夠登錄系統并獲取系統資源，有效的身份識別是信息安全的保障。
1.身份認證
概念：是用戶在進入系統或訪問受限數據資源時，系統對用戶身份的鑒別過程。
作用：能夠有效防止數據資源被非授權使用，保障數據資源的安全。
根據身份認證的發展情況和認證技術的不同可以大致分為以下三類：
(1)用戶名＋口令的認證技術
優點：在于操作簡單，不需要任何附加設施，且成本低、速度快，主要包括________和________。
靜態口令：用戶名和口令是一次性產生，在使用過程中固定不變。
動態口令：應用廣泛的一種身份識別技術，主要有____________和__________這兩種。
靜態口令
動態口令
動態短信口令
動態口令牌
(2)依靠生物特征識別的認證技術
不同的人具有相同生物特征的可能性是極低的，生物特征識別的認證方式具有防偽性能好、隨時隨地可用等優點。
目前比較成熟的生物特征識別認證技術有__________、________、___________、___________等。
指紋識別技術
語音識別技術
虹膜認證技術
人臉識別技術
(3)USB Key認證技術
采用軟硬件相結合、一次一密的認證模式，很好地解決了安全性與易用性之間的矛盾。采用USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USB Key內置的密碼算法實現對用戶身份的認證。常見的基于USB Key的應用包括網上銀行的“U盾”、支付寶的“支付盾”等。
2.訪問控制
身份認證要解決的問題是用戶是否有權限進入系統使用數據資源，而訪問控制要解決的問題是用戶對數據操作的權限。
訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。非授權用戶沒有訪問權限，授權用戶有訪問權限，但是授權用戶中存在存取權限的差別，如讀取、寫入、執行、刪除、追加等存取方式。
(1)訪問控制的概述
訪問控制(Access Control)一般是指系統對用戶身份及其所屬的預先定義的策略組，用以限制其使用數據資源的手段。系統管理員通常利用該手段控制用戶對服務器、目錄、文件等網絡資源的訪問。
訪問控制三個要素：
主體：資源訪問的提出者
客體：被訪問的資源
控制策略（授權）：允許對資源執行的具體操作(讀、寫、刪除、拒絕訪問等)
(2)訪問控制的功能及原理
基本功能：保證合法用戶訪問受保護的系統資源，防止非法用戶訪問受保護的系統資源，或防止合法用戶訪問非授權的系統資源。
(3)用戶賬戶管理
系統管理員通過對用戶賬號權限大小的設置來管理數據的安全，目的是保證訪問系統資源的用戶是合法的，不同權限的用戶所擁有的數據范圍不一樣。
用戶權限授予策略具體如下：
①系統管理員根據實際需求對用戶分別建立賬戶或策略組
②系統管理員授予用戶唯一身份，不允許多人共享一個賬戶
③用戶登錄過程需要身份認證（身份識別）
④保證用戶口令有足夠的強度和防攻擊能力
例8 下列關于身份認證和訪問控制的說法中，不正確的是 （ ）
A.USB Key認證技術的優點主要有安全性高、易用性好
B.生物特征識別認證防偽性良好，隨時隨地可用
C.身份認證的主要含義是授權不同用戶對數據操作的權限
D.訪問控制主要是為了防止合法用戶訪問非授權的系統資源
C
解析：身份認證要解決的問題是用戶是否有權限進入系統使用數據資源，而訪問控制要解決的問題是用戶對數據操作的權限。
知識點3.2.3：病毒及其防治
病毒已成為攻擊計算機系統、手機等移動終端系統的主要載體，隨著技術的進步與發展，其攻擊威力越來越大、攻擊范圍越來越廣，極大地威脅著信息系統的安全。
1.病毒概述
(1)計算機病毒
是指人為編制的具有破壞計算機功能或者毀壞數據，影響計算機系統的使用，并能自我復制的一組_________或者________。
它具有______、_____、_____、______、_____、_______等特征。
(2)手機病毒
具有計算機病毒的特征，是一種手機程序。通過發送短信、微信、彩信及無線上網等方式進行傳播，用戶手機中毒后會導致個人資料被刪、隱私泄露、自動撥打電話和發信息等，以致被惡意扣費，甚至會損毀SIM卡、芯片等硬件。如：Cabir蠕蟲病毒。
計算機指令
程序代碼
傳染性
寄生性
隱蔽性
潛伏性
破壞性
可觸發性
例5 計算機病毒本質上是 （ ）
A.一種有破壞性的程序
B.使用計算機時容易感染的一種疾病
C.一種計算機硬件系統故障
D.計算機軟件系統故障
A
解析：計算機病毒是指人為編制的具有破壞計算機功能（軟硬件）或者毀壞數據，影響計算機系統的使用，并能自我復制的一組計算機指令或者程序代碼。
(3)病毒的危害
計算機：
(1)系統運行速度減慢
(2)系統經常無故發生死機
(3)文件長度發生變化
(4)計算機存儲的容量異常減少
(5)系統引導速度減慢
(6)文件丟失或損壞 　
(7)計算機屏幕上出現異常顯示
(8)計算機系統的蜂鳴器出現異常聲響
(9)磁盤卷標發生變化
(10)系統不識別硬盤
、、、、、、
手機：
(1)背景光不停閃爍
(2)持續發出警告聲
(3)屏幕上顯示亂碼信息
(4)按鍵操作失效
(5)用戶信息無緣無故被修改
(6)自動向他人手機發送大量短信 　
(7)死機或自動關機
(8)資料丟失
(9)通信網絡癱瘓
、、、、、、
(4)病毒防治
為了盡可能地降低病毒感染的風險，應堅持以_______、_______的原則，正確地使用計算機、手機等設備。
預防為主
查殺為輔
常見的防治措施如下：
①安裝并開啟防火墻
②安裝應用系統補丁
③安裝防病毒軟件
④經常對系統和重要的數據進行備份
金山毒霸
360安全衛士
瑞星殺毒軟件
針對手機病毒，還應做到：
①收到亂碼信息后，及時刪除
②不接受陌生請求
③保證下載內容的安全性
④不隨意連接公共場合的WiFi
例5變式訓練 2017年5月，勒索病毒在全球爆發。黑客通過攻擊主機，并加密主機上存儲的文件，要求受害者支付贖金。以下關于防范病毒的描述錯誤的是 （ ）
A.所有的防御措施都不是絕對安全的，重要數據還要及時采取加密、備份等措施
B.有些病毒利用了系統漏洞進行傳播，應及時更新打補丁
C.在防火墻上關閉相應的端口，可以大大降低內網計算機中毒的概率
D.所有被病毒破壞的計算機文件都可以修復
D
解析：并非所有被病毒破壞的計算機文件都可以修復，有些是無法修復的。
例1 下列關于信息安全的說法，正確的是 （ ）
A.打開朋友轉發的網頁鏈接一定是安全的
B.安裝了殺毒軟件后電腦就不會感染病毒
C.數據加密是一種提高信息安全性的有效措施
D.手機的指紋識別解鎖技術能確保手機所有信息的安全
C
解析：
選項A，朋友轉發的網頁鏈接不一定是安全的；
選項B，安裝了殺毒軟件的電腦也有可能遇到病毒庫中沒有的病毒而中毒；
選項D，手機的指紋識別解鎖技術只能增加手機的信息安全，但不能確保所有信息的安全。
知識點3.2.4：漏洞及其防護
1.漏洞及其修復
(1)漏洞的概述
在系統或軟件開發時由于各種原因而留下的隱患。
(2)后門
漏洞中的一種。
是有些程序編寫人員為了方便進行某些調試和測試而預留的一些特權，通過這些預設的特權，他們可以不經過安全檢查而獲得訪問權；
有些則是入侵者在完成入侵后，為了能夠繼續保持對系統的訪問特權而預留的權限。
(3)漏洞的防護
通過漏洞掃描技術對所管理的系統和網絡進行安全審查，檢測系統中的安全脆弱環節，及時更新系統，堵住漏洞。
根據黑客利用漏洞攻擊的行為，還可以采用下列措施從技術上加以防護：
①使用防火墻(Firewall)來防止外部網絡對內部網絡的未經授權訪問。
②經常使用安全監測與掃描工具來發現安全漏洞及薄弱環節，加強內部網絡與系統的安全防護性能和抗破壞能力。
③使用有效的控制手段抓住入侵者。經常使用網絡監控工具對網絡和系統的運行情況進行實時監控，追查系統漏洞所在，及時發現黑客或入侵者的不良企圖及越權使用，防患于未然。
此外，還需經常備份系統，以便在被攻擊后能及時修復系統，將損失減少到最低程度。
2.黑客及其防范
(1)黑客
到處收集黑客工具，利用網絡進行搗亂和破壞，借此來炫耀自己的計算機技術的一類群體。
(2)防火墻技術
一般是由硬件和軟件組合而成的復雜系統，也可以只是軟件系統，如Windows系統自帶的防火墻。
防火墻可以有效地擋住外來的攻擊，對進出的數據進行監視，并能自動統計、分析通過防火墻的各種連接數據，探測出攻擊者，立即斷開與該主機的任何連接，保護內部網絡資源的安全。
防火墻主要由___________、_______、______和_______組成。
按技術分類：主要分為地址轉換防火墻、數據包過濾防火墻和代理防火墻等；
按形態分類：主要分為__________、_________等。
服務訪問規則
驗證工具
包過濾
應用網關
硬件防火墻
軟件防火墻
例2 小明搭建“室內環境監測系統”，實現如下功能：當室內亮度達到系統設定的閾值時，系統使用執行器放下窗簾，當窗臺濕度達到系統設定的閾值時，系統使用執行器關閉窗戶，并且系統將采集到的數據通過室內 Wi－Fi 保存到服務器的數據庫中。關于該系統的信息安全及數據傳輸，不正確的是 （ ）
A.系統客戶端獲取數據庫數據需通過 TCP/IP 協議
B.系統進行病毒防護需堅持預防為主，查殺為輔的原則
C.該系統所有的用戶通過身份認證后即可訪問數據庫中所有系統資源
D.安裝防火墻可有效防止外部網絡的攻擊
C
解析：身份認證要解決的問題是用戶是否有權限進入系統使用數據資源，而訪問控制要解決的問題是用戶對數據操作的權限。
例2變式訓練 下列做法不利于該信息系統安全的是 （ ）
A.將系統生成的3D動畫在互聯網上發布
B.對系統中的視頻裁判開放所有權限以便他們能觀察到所有數據
C.給每一位視頻操作室人員分配一個綁定的“人臉識別”帳號
D.系統后臺管理員注銷某位“提前透露世界杯比賽結果”的內部操作人員帳號
B
解析：要設置合適的權限，才有利于信息系統的安全。
課堂小結
信息系統安全與防護
密碼與密鑰
對稱與非對稱密碼體制
數據加密與安全
身份認證與安全
身份認證
訪問控制
病毒及其防治
病毒概述
病毒防治
漏洞及其防護
漏洞及其修復
黑客及其防范

展開更多......

收起↑